RODO w aplikacjach zdrowotnych – wymogi dot. bezpieczeństwa danych pacjentów
Na początku października 2020 r. niemiecki Federalny Instytut Leków i Wyrobów Medycznych (BfArM) zatwierdził dwie mobilne aplikacje zdrowotne i umieścił je w katalogu cyfrowych aplikacji zdrowotnych („Katalog DiGA”).
Na gruncie lokalnego, mającego zastosowanie prawa oznacza to, że koszty tych aplikacji zdrowotnych, o ile ich używanie zostało przepisane przez lekarza, mogą być refundowane ze środków publicznych. Warunkiem dla umieszczenia produktu w Katalogu DiGA jest między innymi spełnienie przez aplikację wymagań dot. ochrony danych osobowych oraz zagwarantowanie bezpieczeństwa danych zgodnie z aktualnym stanem techniki. Okazało się jednak, że zostały wykryte poważne braki w ochronie danych w jednej z aplikacji, które służą do leczenia osób z zaburzeniami lękowymi. Wykorzystując luki w zabezpieczeniach, osoby atakujące mogły „ujawnić” dane pacjentów, a przejąć ich konta zawierające poufne dane.
Lokalny organ zajmujący się ochroną danych osobowych wskazał, że w przypadku aplikacji zdrowotnych ochrona danych i bezpieczeństwo są wyjątkowo istotne. Tego rodzaju urządzenia i aplikacje zbierają bardzo wrażliwe dane. Z tego powodu ważne jest, aby aplikacje, które zostały zatwierdzone przez BfArM, spełniały najwyższe wymagania w zakresie bezpieczeństwa i ochrony danych. Użytkownicy aplikacji zdrowotnych muszą mieć zaufanie, że ich dane są skutecznie chronione. Za niepokojące uznano, że jedna z pierwszych aplikacji zatwierdzonych w tym trybie ma luki w zabezpieczeniach.
W przeszłości organ ochrony danych dla Nadrenii-Palatynatu, wraz z innymi organami nadzorującymi ochronę danych, wielokrotnie ostrzegał o niedociągnięciach w opracowaniu przewidzianej prawem procedury testowej w celu umieszczenia aplikacji zdrowotnych w Katalogu DiGA. W szczególności skrytykował fakt, że aplikacje są umieszczane w katalogu wyłącznie na podstawie informacji producenta, bez sprawdzania ich zgodności z prawem o ochronie danych przez niezależne organy. Wskazuje się , że z technicznego punktu widzenia należy wziąć pod uwagę i sprawdzić, poprzez niezależne audyty, następujące elementy aplikacji dotyczące prywatności danych jej użytkowników : poufność i integralność komunikacji (treść i metadane), bezpieczeństwo danych na urządzeniu lub w informacjach zdrowotnych przechowywanych w aplikacji, podwykonawcy wydawców aplikacji oraz inne podmioty zaangażowane w jej obsługę.
Pomimo, iż powyższe uwagi zostały wystosowane z związku z konkretną procedurą obowiązującą w Niemczech, to ich źródłem jest Ogólne Rozporządzenie o Ochronie Danych Osobowych, obowiązujące przecież w całej Unii Europejskiej. Także na polskim rynku pojawia się ostatnio coraz więcej mobilnych aplikacji medycznych, które mogą potencjalnie przetwarzać duże ilości danych dotyczących zdrowia. Zbyt lekceważące podejście do kwestii ochrony danych osobowych przetwarzanych w takich aplikacjach może doprowadzić do katastrofalnych skutków, zarówno dla użytkowników takiej aplikacji, jak i dla jej twórców – pomijając już kary administracyjne, należy pamiętać o ogromnych kosztach reputacyjnych. W wielu przypadkach tworzenia aplikacji przetwarzających dane dot. zdrowia wskazane byłoby przeprowadzenie oceny skutków dla ochrony danych, która pozwala na ustrukturyzowanie sposobów przetwarzania danych, a także na dobrani odpowiednich środkó1) w celu zaradzenia temu ryzyku.